基于网络的入侵检测精选(九篇)

第1篇：基于网络的入侵检测范文

关键词：网络技术；入侵检测；网络安全

1 引言

网络互联迅速的扩展，特别是Internet大范围的开放以及金融领域网络的接入，越来越多的系统遭到入侵攻击的威胁。这些威胁大多是通过挖掘操作系统和应用服务程序的弱点或缺陷((bug)来实现的。基于上述问题，一个实用的方法是建立比较容易实现的安全系统，同时按照一定的安全策略建立安全的辅助系统，入侵检测系统(IDS)就是这样一类系统。入侵检测作为安全防护的一个重要手段可以及时发现系统漏洞及入侵动机和行为，及时提醒管理人员采取相应的措施、显著的减少被入侵的可能性和可能造成的损失。因此研究基于网络的入侵检测系统具有重要的意义。

2 网络入侵过程的分析

  一个典型的网络入侵过程如图2-1所示：

第2篇：基于网络的入侵检测范文

【关键词】入侵检测 数据挖掘 异常检测 误用检测 分类算法

用于加强网络安全的手段目前有很多，如加密，vpn ，防火墙等，但这些技术都是静态的，不能够很好的实施有效的防护。而入侵检测（intrusion detection）技术是一种动态的防护策略，它能够对网络安全实施监控、攻击与反攻击等动态保护，在一定程度上弥补了传统静态策略的不足。

一、入侵检测中数据挖掘技术的引入

（一）入侵检测技术介绍

入侵检测技术是对（网络）系统的运行状态进行监视，发现各种攻击企图、攻击行为或者攻击结果，以保证系统资源的机密性、完整性与可用性。

根据数据分析方法（也就是检测方法）的不同，我们可以将入侵检测系统分为两类：

1.误用检测（misuse detection）。又称为基于特征的检测，它是根据已知的攻击行为建立一个特征库，然后去匹配已发生的动作，如果一致则表明它是一个入侵行为。

2.异常检测（anomaly detection）。又称为基于行为的检测，它是建立一个正常的特征库，根据使用者的行为或资源使用状况来判断是否入侵。

将这两种分析方法结合起来，可以获得更好的性能。异常检测可以使系统检测新的、未知的攻击或其他情况；误用检测通过防止耐心的攻击者逐步改变行为模式使得异常检测器将攻击行为认为是合法的，从而保护异常检测的完整性。

（二）数据挖掘技术

数据挖掘通过预测未来趋势及行为，做出预测性的、基于知识的决策。数据挖掘的目标是从数据库中发现隐含的、有意义的知识，按其功能可分为以下几类：

1.关联分析。关联分析能寻找数据库中大量数据的相关联系，常用的2种技术为关联规则和序列模式。关联规则是发现一个事物与其他事物间的相互关联性或相互依赖性。

2.聚类。输入的数据并无任何类型标记，聚类就是按一定的规则将数据划分为合理的集合，即将对象分组为多个类或簇，使得在同一个簇中的对象之间具有较高的相似度，而在不同簇中的对象差别很大。

3.自动预测趋势和行为。数据挖掘自动在大型数据库中进行分类和预测，寻找预测性信息，自动地提出描述重要数据类的模型或预测未来的数据趋势。

4.概念描述。对于数据库中庞杂的数据，人们期望以简洁的描述形式来描述汇集的数据集。概念描述就是对某类对象的内涵进行描述并概括出这类对象的有关特征。

5.偏差检测。偏差包括很多潜在的知识，如分类中的反常实例、不满足规则的特例、观测结果与模型预测值的偏差、量值随时间的变化等。

二、算法在入侵检测中的具体使用

（一）基于误用的检测模型

·id3、c4.5算法：id3算法是一种基本的决策树生成算法，该算法不包括规则剪除部分。c4.5算法作为id3算法的后继版本，就加入了规则剪除部分，使用训练样本来估计每个规则的准确率。也是分类模型的主要运用算法。

对于已知的攻击类型的检测，分类模型具有较高的检准率，但是对于未知的、新的攻击，分类模型效果就不是很理想。这个是由误用检测本身的特点所决定的，误用检测误报率低，但是它在对已知攻击模式特征属性构建和选取上往往要花费大量的精力，这也是分类检测的难点所在。所以这种检测模型只能有限的检测已知的攻击，而要更好的检测未知的攻击，就要使用到异常检测技术，但是，异常检测却比误用检测负责的多，因为对于系统正常使用模式的构建本身就是一件非常复杂的事情。

（二）基于异常的入侵模型

异常检测的主要工作就是通过构造正常活动集合，然后利用得到的一组观察数值的偏离程度来判断用户行为的变化，以此来觉得是否属于入侵的一种检测技术。异常检测的优点在于它具有检测未知攻击模式的能力，不论攻击者采用什么样的攻击策略，异常检测模型依然可以通过检测它与已知模式集合之间的差异来判断用户的行为是否异常。

在异常检测中主要用到的两个算法就是模式比较和聚类算法：

1.模式比较。在模式比较算法

首先通过关联规则和序列规则建立正常的行为模式，然后通过模式比较算法来区别正常行为和入侵行为。

（1）关联规则。它主要经过两步过程：首先识别所有支持度不低于用户规定的最小支持度域值的项目集，即频繁项目集；然后从得到的频繁项目集中构造出可信度不低于用户规定的最小可信度域值的规则。现在已有多种关联规则算法如apriori算法等用于入侵检测。

（2）序列分析。序列模式挖掘有几个重要的参数，如时间序列的持续时间，事件重叠窗口和被发现的模式中时间之间的时间间隔。还可以在要挖掘的序列模式上指定约束，方法是提供“模式模板“，其形式可以是系列片段（serial episode），并行片段（parallel episode），或正则表达式。序列分析使用于发现分布式攻击和插入噪声的攻击。由于各种攻击方法的规模的扩大和时间持久，序列分析变得越来越重要。

2.聚类算法。基于聚类的入侵检测是一种无监督的异常检测算法，通过对未标识数据进行训练来检测入侵。该方法不需要手工或其他的分类，也不需要进行训练。因此呢功能发现新型的和未知的入侵类型。

三、结论

入侵检测中数据挖掘技术方面的研究已经有很多，发表的论文也已经有好多，但是应用难点在于如何根据具体应用的要求，从用于安全的先验知识出发，提取出可以有效反映系统特性的属性，并应用合适的算法进行数据挖掘。另一技术难点在于如何将数据挖掘结果自动应用到实际ids中。

入侵检测采用的技术有多种类型，其中基于数据挖掘技术的入侵检测技术成为当前入侵检测技术发展的一个热点，但数据挖掘还处于发展时期，因此有必要对它进行更深入的研究。

参考文献：

[1]张银奎，廖丽，宋俊等.数据挖掘原理[m].北京：机械工业出版社，2003 ： 93-105

第3篇：基于网络的入侵检测范文

关键词： 网络入侵数据检测； 离散化处理； 遗传算法； 数据约简

中图分类号： TN711?34； TP393 文献标识码： A 文章编号： 1004?373X（2017）04?0028?04

Research of public network intrusion detection method based on rough set theory

PANG Bangyan， ZHANG Yanmin

（Basic Teaching Department， Shangqiu Institute of Tecnology， Shangqiu 476000， China）

Abstract： Traditional method exists high redundancy， large dimension， poor accuracy and so on in the process of public network intrusion data detection. In order to improve the real?time performance and effectiveness of public network security protection， a public network detection method based on the improved rough set theory is put forward to detect and screen the data which has invasion risk， optimize the detecting accuracy based on rough set concept， and reduce the information loss. The MDLP operational criterion is adopted to complete the discretization processing of the data. The genetic algorithm is used to carry on the data reduction， derive data classification rules and identify the intrusion data. The simulation results show that the proposed intrusion data detection method is more effective in the aspects of intrusion detection rate and error rate in comparison with the traditional algorithm.

Keywords： network intrusion data detection； neural network； genetic algorithm； data reduction

0 引 言

近年来信息技术迅猛发展，公共网络已逐渐成为全世界范围内最重要的基础设施之一，对社会各个方面及人类的生产生活方式产生了巨大的影响。网络代表的开放式信息平台是现代信息社会的发展趋势，但网络的开放性同样会带来风险，尤其是和大众联系紧密的公共网络。公共网络攻击行为时有发生， 客观上迫切要求建立有效的入侵检测系统。入侵z测技术经过几十年的发展， 有一定的进步，但传统方法存在时效性和精简性不足的问题。文献[1]提出入侵检测系统的基础是抽象模型模式匹配，尽管在某些领域内也取得了一些进步，但是随着公共网络的发展和壮大及恶意入侵方式的多样化，这种方法已经不适应目前公共网络的发展趋势要求。本文提出的方法基于优化粗糙集理论对网络入侵原始数据进行处理和分析[2?4]。运用MDLP运算准则完成对入侵数据的离散化处理[5?6]，使用遗传算法对数据进行属性约简，降低维数、去除冗余[7?8]， 将导出数据分类规则并对入侵数据进行报警处理，试验证明了本文提出方法能够提高数据的检测率，降低误报警次数，运算简捷同时易于理解[1]。

1 基于优化RS入侵检测方法研究

1.1 优化粗糙集理论

本文将基于优化粗糙集理论用于实现对公共网络入侵数据的检测。粗糙集理论是一种数学工具，主要描述不完整性和不确定性。可以有效地对各种不完整、不一致、不精确数据信息进行处理，还能够通过分析和推理数据信息，揭示出潜在规律和隐含其中的知识。粗糙集理论最显著的特点是不需要其他任何的先验知识，仅利用数据本身提供的信息可以完成检测。粗糙集理论开辟了一条全新的路径来处理攻击检测样本数据中不易分辨的数据。通常粗糙集方法和模型包括条件属性和决策属性，在不丢失信息前提下对数据进行预处理，应用同样知识进行最小条件属性集约简，保持决策系统相同分类能力的最简形式本文。优化粗糙集相关原理如下：

（1） 给定公共网络数据集合X和数据集合Y，其中集合Y是集合X的是等价关系，在X基础对Y进行划分，命名为知识，记为。设定四元组表达系统，U为对象的非空有限集合为论域；R是属性的非空有限集合；V：Va，Va，Va是属性a的值域；f 是一个信息函数，aR，xU，f（x，a）Va。

（2） 给定基于公共网络数据的关系系统L=（X，Y） 是知识库，Y是X上等价关系的一个族集，X 为论域；令ZX，Y为X上的一个等价关系。Z的X下近似值：

YZ={H}

Z的Y上近似值：

YZ={HQ≠}

（3） 集合EF，如果E独立，ind（E）=ind（F）， E为F的一个约简。F中所有必要关系集合记作CORE（F）。核与约简有如下关系：

CORE（F）=RED（N）

（4） 设定W=（K，R，V，f）为知识系统，O=PQ，

PQ= ，Q是条件属性集，O是决策属性集，P和Q构成决策表。若Q和T是公式，则QT，QT。令公式 PQ为决策规则，Q和T表达一种因果关系成为规则前、后件。

（5） 对粗糙集优化的实现流程是通过修正和调整阈值各项参数，对传统粗糙集理论的近似边界的严格定义进行宽泛化处理。量度不确定是优化粗糙集最大特点，评价一个决策规则是否有效，可以使用两个指标来评价其优劣： 覆盖度和准确度。其定义式分别为式（1）和式（2）：

对粗糙集的优化处理能够使其覆盖度和准确度提高。

在上述优化粗糙集原理中，属性知识和数据集合被认为是分类能力。粗糙集理论的主要思想是在保持分类能力不变的前提下利用等价关系来对对象集合进行划分，通过对数据的预处理、离散化、知识约简，得出问题的分类规则和决策。由于粗糙集边界经过优化即宽泛化处理，覆盖度和准确度都有所提高，能够更好地实现对入侵数据检测和识别。

1.2 公共网络入侵检测方法研究

基于优化粗糙集的公共网络入侵检测实现流程，如图1所示，主要是根据获取的网络数据连接通过对公共网络数据进行筛选和分析，将进入数据库的原始数据进行离散化处理和遗传数据约简，产生规则集来检测实时的网络数据是攻击数据还是正常连接。

公共网络数据入侵检测流程中对原始数据进行离散化处理和属性约简是最为重要的步骤。包含入侵风险原始数据从公共网络进入数据接收器是不完备和缺失的，由于原始数据的不完备和缺失导致数据信息系统不完备，进入数据库的各种不同的待处理的数据以离散的表现形式存在。运用基于优化的粗糙集方法首先需要对这些原始数据进行预处理然后对数据进行属性约简。对数据的预处理即根据原始数据的数值缺失和不全是离散值的情况特点对数据进行离散化处理。

在对公共网络数据进行入侵检测过程中，MDLD是一种有效的数据信息离散化处理方法，该方法相对独立地按照每个属性的作用，将其持续地获取数据值范围分成合适数量和宽度的子区间，分类嫡设定包含m个类别的数据集U，分布概率分别为数据集U的m个类别分类嫡如下：

（3）

分类嫡是描述上述数据集类别的精度，属性A对S划分后的嫡设属性W将U分为n个子集分类嫡为每个子集U′的嫡加权和比较如式（4）～式（7）所示：

（4）

其中：

（5）

（6）

（7）

从以上数学公式可以推理得出拥有最高信息增益的数据属性是给定集合中具有最高区分度的属性，具有最高增益的离散域值也具有最高的区分度。通过以上的数学方法就完成对粗糙集的数据缺失和非全部离散值的问题进行了离散化处理。

预处理完毕后对数据属性约简是实现入侵数据检测的下一个重要步骤，数据约简可以减少信息的处理量和存储量。基于优化粗糙集的数据约简是通过对属性排序并计算其重要性而实现的。在复杂的数据关系中找出与原始数据具有相同或相似辨别能力的相关属性的最小集合，实现信息约简找出数据库中最简洁、最适用的知识规则。运用遗传算法作全局最优点搜索，识别最优算法参数和初始状态，可以以更短的时间得到更优的属性集约简。

本文采用遗传算法对数据集进行约简，其基本流程把控制序列编码为一个染色体，通过遗传算法来产生控制序列。由于遗传搜索是从决策表的属性核出发，并在整个进化过程中保持不变。选取适应度函数：需要满足条件属性对决策属性依赖度最大和条件属性个数最少这两个条件，才能在属性集是最小约简。对应的函数关系如下：

（8）

式中：A为二进制串长度；CARD（x）表示体数量；B（x）表示条件属性对决策属性的依赖度。通过对算子的选择、交叉和变异，最终实现稳态繁殖，将属性核加入初始种群，减小了搜索范围，同时交叉和变异不会破坏基因位并可以加快收敛速度，保证入侵数据属性集是最小约简。

通过优化粗糙集对数据进行分辨和规则提取后，数据的准确度和覆盖度都有所提高，证明粗糙集经过优化的有效性，对生成的规则进行过滤和提取，去除置信度低的、冗余的规则。提取规则的流程是从经过处理的决策表中抽取出以规则形式表述的知识，将某些去掉后不影响决策结果生成的规则过滤掉。按照以上的流程和最终提取的规则就完成了对公共网络数据入侵数据的入侵检测，按照形成的规则检测出可疑数据并对入侵报警。

2 试验结果与分析

本文通过仿真试验分别对基于优化粗糙集公共网络入侵检测方法和主成分分析（PCA）入侵检测算法进行了效果对比。

通过试验证明本文提出的设计方法有较高的检测率、更加低的误报率，同时训练时间上要比其他算法要低，本文提出的算法具有精确性和有效性。试验数据来自网络入侵检测评判数据库，包含了30余种数据攻击类型如PROBING类型，U2R类型，DDoS等类型。将实验数据分成3组，数据的选择如表1所示。

表1 试验数据

为了验证本文算法对网络入侵检测性能具有更明显的有效性，试验对PCA算法和基于优化粗糙集公共网络入侵检测方法的有效性进行了充分的数据对比。实验结果如表2～表4 所示。

在U2R型数据入侵检测中PCA方法的检测率、误差率和训练时间分别为86.93%，44.81%，0.51 s；而基于优化粗糙集的公共网络检测系统在这三个指标的对比中都具有优势，检测率提高到95.28%，误差率大幅度降低到28.23%，时间缩短到0.29 s。通过数据对比，本文提出的方法在应对U2R型数据攻击时具有优势。

应对PROBING型数据入侵检测中PCA方法的检测率、误差率和训练时间分别为82.26%，40.23%，0.56 s。而基于优化粗糙集的公共网络检测系统在这三个指标的对比中都具有优势，检测率也同样具有优势，三个指标分别可以达到93.12%，27.96%和0.21 s。

DDoS是一种新型的更具破坏性的攻击方式，是利用更多的傀儡机来发起进攻，以比以前更大的规模来进攻公共网络。从表4的数据来看，在应对新型的数据入侵传统的PCA算法在检测率、误差率和训练时间上显示出的时效性更差。而相反基于优化粗糙集的神经网络算法在以上指标表现时更为有效。

从以上 3个表中可以很明显看出，不论是3种数据类型中的哪一种，本文所提出的基于优化粗糙集神经网络入侵检测算法模型的检测率比PCA算法模型在效率和精确度方面有明显的提高，而且模型的误报率以及平均检测时间也要比PCA模型要低，仿真试验表明本文提出基于优化RS入侵检测方法能够在很大程度上提高公共网络的安全入侵检测可靠性，将提出的基于优化RS的公共网络入侵方法用于公共网络入侵行为是一个行之有效的方案。

入侵检测率指标是衡量入侵检测方法是否行之有效的最重要指标，通过仿真试验对本文提出的方法和PCA方法应对常见的攻击方式得出的数据进行统计绘制成检测率综合比较图，如图2所示，本文提出的方法综合检测率在90%以上，在应对常见网络数据攻击行为时具有良好的有效性。

基于粗糙集的公共网络入侵检测系统利用网络工具箱进行测试和训练，实验得到的均方根误差如图3所示。

从实验的仿真结果可以看出，将基于优化粗糙集公共网络入侵方法用于数据入侵检测，较为明显地降低了系统的误报率，提高了各种攻击类型的检测率和目标精度，而且速度较快、收敛容易，有效地改进了公共网络入侵检测系统的性能。

本文的试验分别对基于优化粗糙集公共网络入侵检测方法和主成分分析（ PCA）入侵检测算法进行了数据对比可以看出本文提出的设计方法有高检测率、低的误报率，和更短的训练时间。试验证明本文提出的方法更加实用和有效。

3 结 语

伴随公共网络数据入侵问题的凸显，有效入侵检测成为公共网络安全中一个极为重要的课题。针对传统公共网络入侵检测原始数据精确度低、数据量大、维数多、入侵检测系统误报率、漏报率偏高的现状，在深入研究入粗糙集理论的基础上，本文提出将优化粗糙集理论应用于公共网络入侵检测系统设计。经过大量仿真实验结果证明本文提出的方法是一种高效率、高检测率的网络入侵检测方法，这种优化设计入侵检测系统将会有广泛的应用前景。

参考文献

[1] ZHANG Lianhua， ZHANG Guanhua， YU Lang， et al. Intrusion detection using rough set classification [J]. Journal of Zhejiang University Science， 2004， 5（9）： 1076?1086.

[2] LEE W， STOLFO S J， MOK K. Data mining in workflow environments： Experiences in intrusion detection [C]//Proceedings of the 1999 Conference on Knowledge Discovery and Data Mining（KDD99）. AC： CAM Press，1999： 111?120.

[3] 王永全.入侵检测系统（IDS）的研究现状和展望[J].通信技术，2008，41（11）：139?143.

[4] WELCH C D J， LATHROP M S D. A Survey of 802： Wireless security threats and security mechanisms [R]. West Point， NewYork： United states Military Academy， 2003.

[5] 马海峰，宋进峰，岳新.遗传算法优化的混合神经网络入侵检测系统[J].通信技术，2009，42（9）：106?108.

[6] 王文莉，侯丽敏.基于领域粗糙集的入侵检测[J].传感器与微系统，2010，29（6）：36?38.

第4篇：基于网络的入侵检测范文

关键词：入侵检测；异常检测；时间序列分析

中图分类号：TP393文献标识码：A文章编号：1009-3044(2007)05-11229-02

1 引言

随着科技进步和网络技术的飞速发展，信息产业及其应用得到了巨大的发展，政府、金融、教育等企事业单位以及个人用户等对网络的依赖程度越来越高。同时也由此带来了信息安全隐患，如何保障网络与信息系统的安全已经成为高度重视的问题。作为一种主动安全防护技术，入侵检测系统能够检测和识别来自外部或者内部的异常活动或者入侵行为(例如，对计算机和网络资源的恶意使用或者破坏、内部用户的未授权访问等)，己经成为传统计算机安全技术(如防火墙)的有益补充，是网络安全领域研究的一个新热点。

入侵检测系统(Intrusion Detection System, IDS)是防火墙的合理补充。本文使用时间序列分析，设计和实现一个面向网络流量异常的检测系统，实时地监测和分析网络中的异常流量，并采取相应措施(如与防火墙联动)来避免或抑止网络扫描、Dos/DDoS攻击、网络蠕虫病毒、恶意下载等网络攻击对局域网安全的威胁，保障网络的正常运行，最大限度地发挥网络的作用。

2 常见的网络流量异常

网络流量异常会严重影响网络性能，造成网络拥塞，严重的甚至会网络中断，使网络设备利用率达到100%，无法响应进一步的指令。造成网络异常流量的原因可能有：网络扫描、Ddos攻击、网络蠕虫、恶意下载、用户对网络资源的不当使用以及物理链路损坏或者设备不能正常运转等。

这些安全攻击或威胁有一个共同点，即会引起网络流量的急剧变化，它对网络的影响主要体现在两个方面：

(1)占用带宽资源使网络拥塞，造成网络网络丢包或时延增大，严重时可导致网络不可用；

(2)占用网络设备系统资源（CPU、内存等），使网络不能正常的服务。

3 面向流量异常检测的数学建模

本文设计和实现面向流量异常的网络检测系统，是在基于网络行为学的研究结果。网络行为学认为网络的流量行为具有长期特征和短期特征。网络长期特征表现在网络行为具有一定的规律性和稳定性。能够对局域网的流量或者某些关键主机的流量情况进行实时监测，及早发现和识别入侵攻击的发生。

网络流量模型依据的数学理论基础的不同，大致可以分为4大类:马尔可夫类模型、自回归类模型、长程依赖类流量模型,漏桶类模型[1]。其中，自回归模型定义下一个业务流量变量作为前一个变量的一个明确的函数，即利用前一段时间变量的数据来预测该变量的下一个时间的值，在一个时间窗口中，由目前向过去延伸。多个研究结果表明，它可以有效地用于网络流量行为的实时预测和控制。因此，可以通过对统计的历史统计量数据进行分析，为网络流量建立合理的统计模型，并作为检测系统的异常检测引擎。

首先在局域网的总出口处连续的采集进出网络的流量数据，观测时间为4周（每周7个工作日），建立网络的正常行为模式。从采集到的数据序列，可以看出，网络的带宽利用率(或者总流量)和单播/非单播包比率具有明显的周期性特征，但它是一个不平稳的序列，可以采用时间序列分析的方法为它们建立统计模型[2]。

对带宽利用率和单播/非单播包比率这两个统计量的时间序列模型可以按如下步骤建立，并用于异常流量的检测。

(1)原始数据处理

首先，采集4周28个工作日的数据作为基础数据。数据采集系统在工作中有时会引入一些虚假数据，因此，在整个数据分析过程中，最好先进行异点的检测和剔除，以便确保这些值是体现正常网络行为。根据格拉布斯准则，如果x表示x1,x2,x3,x4的在一周内的某一时刻的平均值(4周数据的平均)，v表示它们的标准差，即，如果xi满足|xi|>kv，则xi为异常值，应剔除不用。 x1,x2,x3,x4中剩余的求平均。其中k是格拉布斯准则系数，与置信区间为95%相对应的k=1.46。这样，得到了4周历史数据的10080个时刻的平均值。再采用方差分析的方法的方法对序列进行平稳化，这样就可以把网络流量的局部看成统计上近似的平稳。然后将这个局部作为一个滑动时间窗口，窗口的大小设为N。用这N个局部流量数据建立ARMA(n,n-1)模型，来判断第N+1个数据是否异常(在实时异常检测中，只需要将时间窗口不断往前依次滑动[3]。

(2)模型的确定和模型参数的估计

在建模策略上，系统建模法采用ARMA(n，n-1)模型逼近序列{xt}，即

为使建模过程计算尽量简单，降低阶数，我们用直线拟合样本数据的趋势，然后提取趋势项。对提取趋势项后的数据进行建模研究。

文中建模时的初始猜测值采用逆函数方法确定。它的基本原理是：逆函数系数本身是ARMA模型无穷展开式的自回归参数，所以对于一个ARMA，可以用无穷阶AR模型去逼近。对于ARMA(2n，2n-1)，需要拟和一个AR(2n-1)模型。这一步可以通过求解Yule-Walker方程方法容易地估出AR的系数Φi。把这些AR模型的系数Φi作为ARMA(n，n-1)模型的逆函数系数Ii。逆函数系数的公式如下

将式(2)代入式(1)可以得到算子恒等式，再利用相应的系数相等的方法，得到ARMA(n，n-1)的滑动平均系数Φi，最后利用已知的Φi和Ii求出作为AR模型系数Φi的初始估计值。这样可以得到ARMA(n，n-1)模型的初始参数Φi和θi。该方法的整个过程都仅涉及到线性方程组的求解，因而计算简便易于实现，是对高阶ARMA模型进行参数初估计的有效方法。这种参数初估计方法不但具有在计算机上容易实现的特点，而且与当前常用的参数初估计方法相比，在参数估计精度上有了较大的提高。

由于最终的ARMA模型方程对参数是非线性的，文章用非线性最小二乘法来逐步逼近的方式来实现残差平方和的极小化。这个方法从诸参数的初始值开始，利用下式递归计算残差并求得平方和

一旦在参数空间中达到平方和较小的那一点时，则以此点为初始值开始新一次的迭代，迭代一直持续到达到规定的允许误差为止。文中利用全局收敛的Levenberg-Marquardt修正的高斯-牛顿法算法来迭代计算残差。一旦达到误差要求，就可以得到模型的参数和阶数。这个方法还可利用局部线性的假设，借助线性最小二乘理论求得各估计参数的近似置信区间。

(3)模型适用性检验

文中所用的检验判据是F检验。 ，式中A0是不受限模型的平方和（较小），A1是受限模型的平方和（较大），F(s，N-r)是具有s和N-r个自由度的F-分布。其中残差平方和的公式为：RSS=∑a 。用F检验来验证在阶数增加的过程中残差的平方和是否显著，从而确定在那个显著性水平上，模型是否合适。同时F判据还可以作为拟合ARMA（2n，2n-1）系列时的停止判据。一旦决定停止在ARMA(2n，2n-1)模型上时，还可以进一步用F-判据判断是否自回归阶次为奇数。在决定了最终的模型后，也可以用F-判据去判断是否还有其他理想的模型形式是合适的。

在使用F-判据的同时，还必须使用残差的自相关检验x2来作为进一步的实用性检验。x2分布是表征相互独立的诸标准正态变量平方和的一个分布， 。使用残差的自相关检验来判断残差的相互独立性，从而确定残差是否是白噪声序列，进一步确定模型是否合理。

3 入侵检测系统的功能模块设计

根据系统的功能需求，可以将流量异常检测原型系统分成5个基本模块：流量采集模块、流量统计模块、流量异常检测模块，报警和响应模块以及人机交互界面。系统的体系结构如图1所示。

系统的工作原理是：在局域网的总出口(或被监控的核心主机附近的采集点)采集流量数据；对每个数据包进行分类并统计相关流量信息(如协议和端口使用量等)，将这些统计值保存到特定的存储结构:并采用异常检测模块对这些流量数据进行分析；对于识别出的异常流量分析特征，并通过修改防火墙的规则或者受害主机隔离等方式来抑止和阻断这些网络攻击的进一步发展。最后，安全管理人员可以通过人机交互模块对查看系统的工作状态并对系统进行配置和管理[4]。

图1 系统的体系结构

图1中的5个模块的功能分别如下：

(1)流量采集模块。局域网的总出口或者网络中被监控的核心服务器附近设置流量采集点，采集所有流经该采集点的流量数据；

(2)流量统计模块。对所有捕获的网络数据包进行拆分，统计各种协议的包的协议类型、源/目标地址、端口、大小、标识位等信息。然后，该模块以分钟为时间粒度，统计网络带宽利用率、单播/非单播包比率、应用层协议包数量、SYN(SYN+ACK)包比率等统计量进行存储，等待进一步的处理；

(3)异常检测模块。该模块通过分析网络流量的几个统计量来描述其正常的行为模式或者状态。其中网络带宽利用率、单播/非单播包比率是与时间相关的统计量，采用时间序列分析的方法为它们建立ARMA(2,1)模型，并用于检测这些统计量序列中的异常。通过综合这些统计量的异常情况，识别出网络流量中的异常情况，并产生安全事件消息；

(4)报警和响应模块。如果检测到异常流量，首先需要报警，使系统和系统管理员可以根据情况选择不同的处理方法。然后，系统根据报警级别和安全响应策略采取两种更为主动的响应方式，即防火墙联动和主机隔离；

(5)人机交互界面。采用基于Web的用户管理，通过该交互界面可以实现信息查看、阐值设定以及处理报警等功能。系统应该对于检测出的异常主机进行标记，标记异常的类型、统计量、阂值指标、消息以及异常发生的时间等情况，给系统管理员报告一个异常信息。

4 系统实现与测试

原型系统在Windows 2000环境采用VC++6.0开发，采用SQL Sever 2000作为安全事件数据库、安全日志、安全响应策略库等的后台数据库。

实验结果表明，本文设计和实现的网络流量异常检测原型系统对于网络扫描、Dos/Ddos、蠕虫等类型的网络攻击和入侵具有明显的检测效果。但是，相对于纷繁变化的网络攻击手段，限于软硬件环境和统计分析技术的缺陷，系统的异常检测能力还不是很完善，存在着一些不足之处这些都还有待改进。因此，本文的主要目的是希望为同类型的入侵检测系统或者网络异常检测系统的设计和开发提供一种思路和模式，也为建立局域网的立体纵深、多层次防御系统进行一些有益的尝试。

参考文献：

[1]宋献涛.等.入侵检测系统的分类学研究[J].计算机工程与应用,2002,38(8):132-13.

[2]孙钦东,张德运,高鹏.并行入侵检测系统的负载均衡算法[J].小型微型计算机,2004,25(12): 2215-2217.

[3]李信满,赵大哲,赵宏.基于应用的高速网络入侵检测系统研究[J].通信学报，2002, 23(9):1-7.

第5篇：基于网络的入侵检测范文

【 关键词 】 网络安全；入侵检测技术；数据挖掘；孤立点

Intrusion Detection Technology Application in Network Security based on outlier Mining Technology

Li Jun

(Shantou Economic Trade Secondary Vocational and Technical School GuangdongShantou 515041)

【 Abstract 】 The computer network system faces different safety risks in actually using of process. Take the necessary security measures on the computer network system is very important. The article first introduced the intrusion detection technology, and then presented the concept of intrusion detection systems and working principle. Then investigated the intrusion detection system based on data mining technology, and gave a description of the mining algorithm based on similarity and isolated points.

【 Keywords 】 network security; intrusion detection; data mining; isolated point

0 引言

随着计算机网络的发展，网络复杂性不断增加，异构性越来越高，计算机网络面临的安全性问题越来越严峻。恶意程序的种类和数量的爆发性增加，严重破坏了网络运行秩序，因此，关于网络安全的问题已经被越来越广泛地研究。

网络安全是一门涉及多种学科的综合性学科，当网络的用户来自社会各个阶层与部门时，大量在网络中存储和传输的数据就需要保护，确保网络中硬件、软件资源及各种信息受到保护，避免遭到恶意的篡改、截获和伪造，使网络服务正常，系统可靠运行。

网络安全的研究实质上就是针对保密通信、安全协议的设计和访问控制三项内容的相关理论和技术的研究。可以通过流量分析检测网络流量的异常并做出有效的响应来确保网络的正常运行。现在应用于网络安全方面的技术有数字签名、数据加密、防火墙等，这些技术作为保护网络是有效的，但是有其自身的局限性，比如防火墙技术可以阻止外部攻击但阻止不了内部攻击且不能提供实时监测等。所以，建立一个基于数据挖掘的网络异常入侵检测技术是有必要的，它可以作为防火墙的补充提供流量分析，能有效避免网络黑客入侵，从多个方面准确分析系统漏洞且采取措施处理。因而基于数据挖掘的入侵检测系统的研究可以有效保证网络的安全运行。

1 入侵检测技术

1.1 概念

入侵检测技术是一种用来检测是否有入侵行为的一种技术，它是入侵检测系统（Intrusion Detection System, IDS）的核心技术，可以抵抗来自网络的入侵行为，保护自己免受攻击，保证计算机系统的安全。入侵检测技术通过将入侵行为的过程与网络会话数据特征匹配，可以检测到计算机网络中的违反安全策略的行为并做出响应，采取相关措施应对网络攻击。入侵检测在网络系统受到危害之前就对内部攻击、外部攻击和误操作等进行拦截并响应入侵，它作为一种积极主动地安全防护技术，为计算机系统提供实时保护。

1.2 入侵检测技术的内容

入侵检测技术的任务执行主要包括以下内容：

（1）对重要的文件和系统资源进行完整性评估和检测；

（2）检查系统构造，评估系统是否存在漏洞，不断检测、监视和分析用户和系统的活动；

（3）对检测的网络攻击行为进行报警，便于用户或管理者采取相应的措施；

（4）对日常行为和异常行为进行统计，并将这两种行为模式对比和分析；

（5）跟踪管理操作系统日志，识别违反安全策略的用户行为。

入侵检测技术是安全审核的核心技术之一，可检测出计算机网络中破坏网络运行秩序的行为，这项技术可以及时检测到系统中的异常行为和未授权的现象。对网络正常运行的破坏行为通常分为两种，一种是非法用户的违规入侵，另一种是合法用户的滥用行为。通过对记录的审核，入侵检测系统可以识别并限制所有不希望存在的行为，保证系统的安全和网络的正常运行。在系统受到入侵攻击时，入侵检测系统可以像管理者报警驱逐入侵攻击，进而保护系统免受伤害，并且在系统被入侵攻击之后，入侵检测系统可以对攻击信息进行收集和分析，将信息填充到系统特征库，升级系统的防范能力。

1.3 入侵检测技术的分类

第6篇：基于网络的入侵检测范文

关键词：入侵检测系统；数据挖掘；网络安全

中图分类号：TP393.08 文献标识码：A 文章编号：1006-8937（2013）14-0082-01

入侵检测这个说法是在1980年被提出来的，到如今已经有三十多年的历史了。在这种技术的发展历程之中，被各种学者融入了其他的领域，其中有一个便是数据挖掘。此技术的发展有着它独特的优势，它能够让正常数据与入侵数据被自动获取，半自动化的对入侵模式进行检测，但它也有着不足，由于该技术尚未完善，很多地方不能够被很好的控制，所以并不一定能达到理想的效果。总的来说，它大概有以下几个方面的缺点。第一，依赖数据的程度太大，又没有将自己的本身特点结合起来，所以不能对该技术进行更好的挖掘指导。第二，半自动化虽然被实现，但是方法太过单一，只能识别老旧的数据入侵模式，对新的仍无能为力，根本无法杜绝误认入侵的情况。

也正是由于这两个原因，在入侵检测中数据挖掘还不能够被很好的利用，检测率也十分的低下，根本不能满足发展的真正需求。本文就以电力信息网络为基础，对入侵检测中的数据挖掘做出简要的分析。

1 数据挖掘在电力信息网之中的应用方法

①决策规矩以及决策树。这两种方法是我们通常会用来解决实际问题的研究方法。作为分类器真正所代表的意义，函数的作用是用来区分概念或者数据的，它能够辨别出之前未曾接触过的对象，并对它做出分析。决策树上有不同的算法，某一些也被很好的应用在了实际问题上，我们应该对此进行发扬。

②聚类分析。这种方法主要是利用聚合来进行工作，它能够很多的无意义的模式加以整合使之存在一定的意义。

2 相关系统的设计

2.1 描述相关的模型系统

设计系统的目的，是为了能够在对数据进行挖掘的基础之上，得到一种检测方法。这种检测方法能够将异常行为和正常行为加以区分，从而对入侵加以有效的识别。这种系统我们最为理想的效果是能够对各种未知数据进行有效的检测。

对系统进行模型设计要基于已知的数据，要先对相关的网络进行有关的分析，并且根据一定的标准分开对IP进行群设立。这是为了能够对相关的分流数据进行有效的指导，分流之后的数据又会有新的分类方法，然后才建立符合他们本身的模式库。

建立一个相对比较完善的模型，应该将异常和正常两种检测方式加以结合。除此之外，我们还应该将异常行为和正常行为都用一定的模式区分出来，并且与检测方式相结合，对是否正常进行判断。通过相似度的比较，我们会对数据得出结论，然后我们应该将所得结果加以存档，并交给管理员，让他对信息进行判别以及贴标。等到数据再次更新之后，数据库便有了新的数据识别能力。

2.2 设计相关的模型系统

电力信息网是很多混合技术的结合，我们在对它进行系统模型的建立的时候，应该对各个方面进行注意，辅助设计最终得以完成。一个模型系统，大概会存在六个比较重要的功能板块。

①辅助决策。这个模块依赖于网络术语，要对网络系统进行一定分析，并按照相关要求对IP群进行建立，以便于更好的指导数据。

②数据采集。这个模块是用来对各种数据进行采集的，将镜像端口放在交换机之上，通过主机才完成对数据的采集，并过滤出需要的数据，收集在数据库当中。

③预处理数据。对采集到的数据，我们要进行剖析检查工作，提取对系统有帮助的信息并加以处理，在完成格式转换、信息统计之后，将其放入数据库之内，以便测试系统能够方便对其进行处理。

④生成分类器。将对系统有帮助的信息数据导入分类器之中，根据一定的计算方法对其进行计算，经过相关决策，将其放入规矩库。通常分类器的数据来源分为两个方面，一个是已经被预处理过的数据，一个是相关人员加进去的不可识别数据。

⑤检测引擎。这个版块的主要作用是用来对相关数据进行审核，如果根据系统检测方法检测出来的结果是异常，那么这就属于入侵行为，如果通过系统检测得出来的结论是正常的，那么我们可以对它不做过多理会。如果系统对数据无法识别，或者说可信度过低，那么这部分的数据应该进行二次处理。在相关人员对其进行处理之后，将其重新放进数据库中，成为新的判别资料。

⑥控制台。控制台是作为一个中间平台而存在的，它的作用是让系统和管理人员进行交互。这个模板几乎对每个部分都有接触，包括对新的数据进行引进、对检测引擎进行检测、对管理规则进行更新、对相关信息进行接收、对系统日志进行查看。

3 试验步骤以及试验结果

3.1 数据准备

这个系统主要是依赖于电力信息的环境而进行工作的。试验的数据都是来源于电力信息系统的，电力系统作为一个巨大的网络系统，拥有着巨大的数据库。在试验中我们只需要选择其中的一部分作为来源就可以测试出我们想要得到的结果。

电力信息网的数据信息来源比较稳定，能够为相关实验提供比较正常的数据资源。但在现实生活中，入侵的数据其实是非常少的，即使曾经发生过入侵，工作人员也很难判定这些数据是否会对系统产生什么威胁。

在正常情况下，我们将电力信息作为数据收集的对象，在一段时间内，对数据进行定时的采集。在对采集数据进行了分析整理之后，我们可以从里面选取一部分作为代表进行相关的试验，其中应该包括一定的正常数据和一定的入侵数据。在试验进行过后，我们假设并没有发生任何入侵行为。

3.2 测试相关的系统性能

选择一部分的数据进行分析，设立分类器，剩下的数据用来对系统进行相关测试。

①检测已经知道的入侵类型。这个实验设计出来，是为了对系统检测能力进行测验的。在检测中，我们假设某种数据都被认成另外一种数据，我们就可以得出结论，这种数据会降低系统检测的准备性，然后在对此进行深度分析。

②检测未知类型。系统的识别率，指的是它发现不确定数据的能力，并不是判定数据的能力。

③系统更新能力。这个实验的最终目的是为了检测出系统是否真的对新数据对识别能力。

4 结 语

通过这些实验，我们可以对文中所列举的方法进行论证。作为一个检测入侵的测试系统，应该具有整体性与科学性，工作人员必须要能保证其系统能够对网络进行全局把控，对任何入侵的行为都能够及时的发现，对任何一个部分都要有能掌控的能力。在目前的相关系统来说，虽然比起刚开始，各方面已经有了长足的进步，但是仍旧不可否认还存在着大量的问题，我们应该在这方面进行整体的研究，对问题的解决方案进行讨论，将检测系统做到更好。

参考文献：

[1] 刘模毛燕琴，沈苏彬.一种基于数据挖掘技术的入侵检测方法的设计[J].计算机技术与发展，2011，（8）：241-245.

[2] 周戈，范琴.基于数据挖掘的网络入侵检测系统[J].信息与电脑（理论版），2011，（8）：148-149.

第7篇：基于网络的入侵检测范文

【关键字】 计算机网络 入侵检测 系统设计

一、引言

随着计算机技术的深入发展，互联网络已经成为重要的信息传播方式[1]。数据信息高度共享的同时，网络入侵手段技术也越来越复杂，计算机信息被破坏，数据被篡改[2]。为了防御网络入侵，对计算机检测系统系统提出了更高要求。

计算机网络入侵检测系统是一种智能的数据分析技术，通过从大量的网络数据挖掘中找到入侵数据，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象，对入侵数据特征进行维度简化，基于异常离散点进行检测[3]。传统的计算机网络入侵检测手段误报率高，系统检测时间较长，易造成检测系统的死循环。

针对上述问题的产生，设计并实现了基于神经网络入侵检测系统的设计，仿真实验表明，改进的入侵检测系统具有较高容错能力，检测率高，为计算机网络提供了保障。

二、入侵检测概述

2.1入侵检测的过程与基本原理：

网络入侵是指网络传输的数据信息在没有经过网络授权情况下进行传输的过程，该过程对计算机网络存在较大隐患危及系统安全。网络入侵检测的过程主要是针对网络中数据信息的分析、处理的过程，根据提前制定的网络安全策略和检测方法对网络数据进行最基本的响应，其过程如图1所示。

2.2网络入侵检测方法描述

在计算机网络中存在输入和输出数据信息，将输入信息多个单元关联取其权值。从网络数据的大量数据中提取入侵行为特征，对数据处理检测过程进行记录。以入侵数据检测采用的中心点进行分析，将入侵行为的攻击方法和计算机制进行处理。

网络数据入侵行为检测根据其中数据挖掘的分析与处理方式进行，分为误用检测模型和异常数据检测模型。

在进行入侵数据分类处理过程中，需要建立类别标签，通过对分类算法进行建模学习，对该类数据信息进行预测，用以判断网络数据是否具有入侵行为。在入侵检测过程中，通常是先运用制定的检测规则进行网络数据大量分析找到其关联性，将关联性用于检测分析入侵行为，建立关联规则的分析模型。建立模型后，对采集到的大量网络数据信息进行降噪处理，简化数据信息。

2.3入侵检测的特征降维

计算机网络入侵检测的过程，是将待检测的网络数据信息进行分类，标记为正常和入侵两种行为。入侵数据信息行为主要取决于数据的规模和算法。

入侵数据特征降维主要是为也简化入侵数据表征，通过简单的方式将多余的数据信息进行剔除。降维后的数据能够获得更好的检测效果。是因为降维数据可将不必要或不重要的数据信息进行有效删除，避免运算复杂性，另一方面降维后数据涉及的数据特征更加简洁，易于分析建模。还可降低数据运算时间和维度复杂性，提高检测效率。

三、基于神经网络入侵检测系统

在对计算机网络入侵数据完成聚类阶段后，可以得到网络数据集合，各集合间相似程度系数在神经检测入侵行为过程中十分重要，对入侵数据检测结果影响较大。在NIDBGC算法中，设置固定预设值能够确保在检测过程中聚类有较好的集合效果。

在计算机网络中引入遗传算法进行入侵数据检测是自适应全局优化概率算法。是利用编码与解码来实现网络空间与解间映射，通过交叉变异和选择对检测数据进行优化。

四、结论

针对传统的入侵检测系统存在的问题，提出并实现了基于神经网络入侵检测系统的设计，仿真实验结果表明，提出的计算机网络入侵检测系统设计具有较高容错能力，检测率高，为计算机网络提供了保障。

参 考 文 献

[1]Zainal A，Maaror M.A，Shamsuddin S.M.Ensemble Classifiers for Network Intrusion Detection System[J].J Inf Secur 4：217-225.2009.

第8篇：基于网络的入侵检测范文

关键词入侵检测异常检测误用检测

在网络技术日新月异的今天，写作论文基于网络的计算机应用已经成为发展的主流。政府、教育、商业、金融等机构纷纷联入Internet，全社会信息共享已逐步成为现实。然而，近年来，网上黑客的攻击活动正以每年10倍的速度增长。因此，保证计算机系统、网络系统以及整个信息基础设施的安全已经成为刻不容缓的重要课题。

1防火墙

目前防范网络攻击最常用的方法是构建防火墙。

防火墙作为一种边界安全的手段，在网络安全保护中起着重要作用。其主要功能是控制对网络的非法访问，通过监视、限制、更改通过网络的数据流，一方面尽可能屏蔽内部网的拓扑结构，另一方面对内屏蔽外部危险站点，以防范外对内的非法访问。然而，防火墙存在明显的局限性。

(1)入侵者可以找到防火墙背后可能敞开的后门。如同深宅大院的高大院墙不能挡住老鼠的偷袭一样，防火墙有时无法阻止入侵者的攻击。

(2)防火墙不能阻止来自内部的袭击。调查发现，50％的攻击都将来自于网络内部。

(3)由于性能的限制，防火墙通常不能提供实时的入侵检测能力。写作毕业论文而这一点，对于层出不穷的网络攻击技术来说是至关重要的。

因此，在Internet入口处部署防火墙系统是不能确保安全的。单纯的防火墙策略已经无法满足对安全高度敏感部门的需要，网络的防卫必须采用一种纵深的、多样化的手段。

由于传统防火墙存在缺陷，引发了入侵检测IDS(IntrusionDetectionSystem)的研究和开发。入侵检测是防火墙之后的第二道安全闸门，是对防火墙的合理补充，在不影响网络性能的情况下，通过对网络的监测，帮助系统对付网络攻击，扩展系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高信息安全基础结构的完整性，提供对内部攻击、外部攻击和误操作的实时保护。现在，入侵检测已经成为网络安全中一个重要的研究方向，在各种不同的网络环境中发挥重要作用。

2入侵检测

2．1入侵检测

入侵检测是通过从计算机网络系统中的若干关键点收集信息并对其进行分析，从中发现违反安全策略的行为和遭到攻击的迹象，并做出自动的响应。其主要功能是对用户和系统行为的监测与分析、系统配置和漏洞的审计检查、重要系统和数据文件的完整性评估、已知的攻击行为模式的识别、异常行为模式的统计分析、操作系统的审计跟踪管理及违反安全策略的用户行为的识别。入侵检测通过迅速地检测入侵，在可能造成系统损坏或数据丢失之前，识别并驱除入侵者，使系统迅速恢复正常工作，并且阻止入侵者进一步的行动。同时，收集有关入侵的技术资料，用于改进和增强系统抵抗入侵的能力。

入侵检测可分为基于主机型、基于网络型、基于型三类。从20世纪90年代至今，写作英语论文已经开发出一些入侵检测的产品，其中比较有代表性的产品有ISS(IntemetSecuritySystem)公司的Realsecure，NAI(NetworkAssociates，Inc)公司的Cybercop和Cisco公司的NetRanger。

2．2检测技术

入侵检测为网络安全提供实时检测及攻击行为检测，并采取相应的防护手段。例如，实时检测通过记录证据来进行跟踪、恢复、断开网络连接等控制；攻击行为检测注重于发现信息系统中可能已经通过身份检查的形迹可疑者，进一步加强信息系统的安全力度。入侵检测的步骤如下：

收集系统、网络、数据及用户活动的状态和行为的信息

入侵检测一般采用分布式结构，在计算机网络系统中的若干不同关键点(不同网段和不同主机)收集信息，一方面扩大检测范围，另一方面通过多个采集点的信息的比较来判断是否存在可疑现象或发生入侵行为。

入侵检测所利用的信息一般来自以下4个方面：系统和网络日志文件、目录和文件中的不期望的改变、程序执行中的不期望行为、物理形式的入侵信息。

(2)根据收集到的信息进行分析

常用的分析方法有模式匹配、统计分析、完整性分析。模式匹配是将收集到的信息与已知的网络入侵和系统误用模式数据库进行比较，从而发现违背安全策略的行为。

统计分析方法首先给系统对象(如用户、文件、目录和设备等)创建一个统计描述，统计正常使用时的一些测量属性。测量属性的平均值将被用来与网络、系统的行为进行比较。当观察值超出正常值范围时，就有可能发生入侵行为。该方法的难点是阈值的选择，阈值太小可能产生错误的入侵报告，阈值太大可能漏报一些入侵事件。

完整性分析主要关注某个文件或对象是否被更改，包括文件和目录的内容及属性。该方法能有效地防范特洛伊木马的攻击。

3分类及存在的问题

入侵检测通过对入侵和攻击行为的检测，查出系统的入侵者或合法用户对系统资源的滥用和误用。写作工作总结根据不同的检测方法，将入侵检测分为异常入侵检测(AnomalyDetection)和误用人侵检测(MisuseDetection)。

3．1异常检测

又称为基于行为的检测。其基本前提是：假定所有的入侵行为都是异常的。首先建立系统或用户的“正常”行为特征轮廓，通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。此方法不依赖于是否表现出具体行为来进行检测，是一种间接的方法。

常用的具体方法有：统计异常检测方法、基于特征选择异常检测方法、基于贝叶斯推理异常检测方法、基于贝叶斯网络异常检测方法、基于模式预测异常检测方法、基于神经网络异常检测方法、基于机器学习异常检测方法、基于数据采掘异常检测方法等。

采用异常检测的关键问题有如下两个方面：

(1)特征量的选择

在建立系统或用户的行为特征轮廓的正常模型时，选取的特征量既要能准确地体现系统或用户的行为特征，又能使模型最优化，即以最少的特征量就能涵盖系统或用户的行为特征。

(2)参考阈值的选定

由于异常检测是以正常的特征轮廓作为比较的参考基准，因此，参考阈值的选定是非常关键的。

阈值设定得过大，那漏警率会很高；阈值设定的过小，则虚警率就会提高。合适的参考阈值的选定是决定这一检测方法准确率的至关重要的因素。

由此可见，异常检测技术难点是“正常”行为特征轮廓的确定、特征量的选取、特征轮廓的更新。由于这几个因素的制约，异常检测的虚警率很高，但对于未知的入侵行为的检测非常有效。此外，由于需要实时地建立和更新系统或用户的特征轮廓，这样所需的计算量很大，对系统的处理性能要求很高。

3．2误用检测

又称为基于知识的检测。其基本前提是：假定所有可能的入侵行为都能被识别和表示。首先，写作留学生论文对已知的攻击方法进行攻击签名(攻击签名是指用一种特定的方式来表示已知的攻击模式)表示，然后根据已经定义好的攻击签名，通过判断这些攻击签名是否出现来判断入侵行为的发生与否。这种方法是依据是否出现攻击签名来判断入侵行为，是一种直接的方法。

常用的具体方法有：基于条件概率误用入侵检测方法、基于专家系统误用入侵检测方法、基于状态迁移分析误用入侵检测方法、基于键盘监控误用入侵检测方法、基于模型误用入侵检测方法。误用检测的关键问题是攻击签名的正确表示。

误用检测是根据攻击签名来判断入侵的，根据对已知的攻击方法的了解，用特定的模式语言来表示这种攻击，使得攻击签名能够准确地表示入侵行为及其所有可能的变种，同时又不会把非入侵行为包含进来。由于多数入侵行为是利用系统的漏洞和应用程序的缺陷，因此，通过分析攻击过程的特征、条件、排列以及事件间的关系，就可具体描述入侵行为的迹象。这些迹象不仅对分析已经发生的入侵行为有帮助，而且对即将发生的入侵也有预警作用。

误用检测将收集到的信息与已知的攻击签名模式库进行比较，从中发现违背安全策略的行为。由于只需要收集相关的数据，这样系统的负担明显减少。该方法类似于病毒检测系统，其检测的准确率和效率都比较高。但是它也存在一些缺点。

3．2．1不能检测未知的入侵行为

由于其检测机理是对已知的入侵方法进行模式提取，对于未知的入侵方法就不能进行有效的检测。也就是说漏警率比较高。

3．2．2与系统的相关性很强

对于不同实现机制的操作系统，由于攻击的方法不尽相同，很难定义出统一的模式库。另外，误用检测技术也难以检测出内部人员的入侵行为。

目前，由于误用检测技术比较成熟，多数的商业产品都主要是基于误用检测模型的。不过，为了增强检测功能，不少产品也加入了异常检测的方法。

4入侵检测的发展方向

随着信息系统对一个国家的社会生产与国民经济的影响越来越大，再加上网络攻击者的攻击工具与手法日趋复杂化，信息战已逐步被各个国家重视。近年来，入侵检测有如下几个主要发展方向：

4．1分布式入侵检测与通用入侵检测架构

传统的IDS一般局限于单一的主机或网络架构，对异构系统及大规模的网络的监测明显不足，再加上不同的IDS系统之间不能很好地协同工作。为解决这一问题，需要采用分布式入侵检测技术与通用入侵检测架构。

4．2应用层入侵检测

许多入侵的语义只有在应用层才能理解，然而目前的IDS仅能检测到诸如Web之类的通用协议，而不能处理LotusNotes、数据库系统等其他的应用系统。许多基于客户／服务器结构、中间件技术及对象技术的大型应用，也需要应用层的入侵检测保护。

4．3智能的入侵检测

入侵方法越来越多样化与综合化，尽管已经有智能体、神经网络与遗传算法在入侵检测领域应用研究，但是，这只是一些尝试性的研究工作，需要对智能化的IDS加以进一步的研究，以解决其自学习与自适应能力。

4．4入侵检测的评测方法

用户需对众多的IDS系统进行评价，评价指标包括IDS检测范围、系统资源占用、IDS自身的可靠性，从而设计出通用的入侵检测测试与评估方法与平台，实现对多种IDS的检测。

4．5全面的安全防御方案

结合安全工程风险管理的思想与方法来处理网络安全问题，将网络安全作为一个整体工程来处理。从管理、网络结构、加密通道、防火墙、病毒防护、入侵检测多方位全面对所关注的网络作全面的评估，然后提出可行的全面解决方案。

综上所述，入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，使网络系统在受到危害之前即拦截和响应入侵行为，为网络安全增加一道屏障。随着入侵检测的研究与开发，并在实际应用中与其它网络管理软件相结合，使网络安全可以从立体纵深、多层次防御的角度出发，形成人侵检测、网络管理、网络监控三位一体化，从而更加有效地保护网络的安全。

参考文献

l吴新民．两种典型的入侵检测方法研究．计算机工程与应用，2002；38(10)：181—183

2罗妍，李仲麟，陈宪．入侵检测系统模型的比较．计算机应用，2001；21(6)：29～31

3李涣洲．网络安全与入侵检测技术．四川师范大学学报．2001；24(3)：426—428

4张慧敏，何军，黄厚宽．入侵检测系统．计算机应用研究，2001；18(9)：38—4l

第9篇：基于网络的入侵检测范文

关键词：入侵检测方法 IDS主要构成 具体应用

中图分类号：TP393 文献标识码：A 文章编号：1007-9416（2012）09-0179-01

1、引言

在计算机网络获得广泛应用的背景下，入侵检测系统IDS在网络安全中的具体应用逐渐成为工业界和学术界日益关注的重要课题，许多与入侵检测相关的新技术、新算法和新系统也相继出现，本文将对其做出一定的探索。

2、入侵检测与IDS内涵

入侵检测系统的功能是： 监视网络系统的运行状态，积极检测非法入侵者的攻击企图，并且阻止其攻击行为，避免产生攻击结果，最终目的是保护网络系统资源的完整性以及安全性和可用性。

入侵检测系统（IDS，Intrusion Detect System）是借助于误用检测、异常检测以及两种技术相互结合进行的一些特殊计算机程序。

3、入侵检测系统的主要构成

一个入侵检测系统的主要构成至少包含三个重要部分：数据来源、入侵分析以及入侵响应。通过这三个必要的部分，入侵检测系统进行正常的工作。首先数据探测器对网络中的数据进行检测，并将相关数据存储到数据存储器当中；然后再由检测器根据参考数据信息来处理活跃数据，如果检测器检测出非法入侵者的攻击行为，警报器就会发出警报，接着，向安全管理员发出通知；在安全管理员接到通知后，根据参考数据和配置数据向探测器发出通知，从而保障网络安全。

4、几种常见的入侵检测方法

4.1 基于统计分析的IDS

在基于异常的检测系统中通常使用统计分析的入侵检测法。一般来说，由异常检测器检测目标对象行为，并由它来创建一个框架。此框架不占用太大的存储空间，同时，可以高效的有规律地更新。在不断更新统计数据的过程中，基于统计分析的入侵检测系统就能够周期性地产生一个数据来表示它的异常度。

基于统计分析的入侵检测系统是一种比较易于实现的较成熟的入侵检测方法。基于统计分析的入侵检测系统能够主动学习用户的使用习惯，发现与正常使用时有较大差别的活动，并将之标识出来，所以，它的灵活性和实用性是非常强的。然而，基于统计分析的入侵检测系统的学习能力也会给非法入侵者带来一定的入侵可能性。具体说，基于统计分析的入侵检测系统能通过训练方式来保证它和入侵模式相适应，借助于一次次训练来保证入侵事件与正常操作的统计规律相符合，从而将入侵事件看作是正常事件。

4.2 基于神经网络的IDS

该入侵检测系统是通过连接众多简单处理单元所得到的信息处理能力特别强大的一种系统。该系统能够模拟人脑来进行信息的加工、存储和处理，这种入侵检测方法是非常智能化的。

基于神经网络的入侵检测系统必须通过学习阶段和入侵分析阶段来实现入侵检测。在学习阶段，基于神经网络的入侵检测系统根据用户的历史数据进行针对性训练，从而构建并组装神经网络框架；系统将接收的网络数据与历史数据进行比对，从而得到两种数据的异同之处。在现阶段，目前，入侵检测系统中广泛使用神经网络的诸多模型，只需给系统以审计数据，神经网络便可通过自主学习功能将其正常活动的特征模式提取出来，并且可以借助于众多的入侵实例来进行训练，了解系统各方面存在的联系，最终能够对输入到基于神经网络的IDS的监测数据进行准确识别。

基于神经网络的IDS存在着其自身的优势，主要包括：具有较强的学习和自适应能力；具备较强的概括和抽象能力，能够有效处理不完整输入的信息；具备较强的内在并行计算和存储能力。基于神经网络的入侵检测系统存在着其自身的劣势，主要就是不能够科学有效地应对大容量的入侵行为，这就使神经网络在入侵检测系统的广泛应用受到一定程度的限制。

4.3 基于支持向量机的IDS

在二十世纪九十年代初，随着入侵检测技术的不断发展，基于支持向量机的入侵检测系统应运而生，这是一种建立在统计学习理论基础之上的入侵检测系统，对于结构风险最小化原则进行了较为全面的考虑，能够避免传统学习方法中经验风险最小化的问题。基于支持向量机入侵检测系统的基本原理： 系统通过核函数来表示某个非线性映射，将输入空间中的某些样本点映射至一个高维的特征空间，与此同时，保证在该空间中线性可分，从而形成一个接近于理想分类结果的最优超平面。

5、结语

综上所述，本文探索了入侵检测系统IDS在网络安全中的具体应用。入侵检测系统作为一种能够维护网络安全的重要技术，可以在保证网络性能不受到影响的前提下，对于网络的运行情况进行准确的检测，可以实现对于网络的实时保护。随着入侵检测系统的不断发展，网络安全问题也会得到更好的解决。

参考文献

[1]鲜继清，谭丹，陈辉.局域网中个人防火墙与入侵检测系统联动技术研究[J].计算机应用研究，2006，（05）.

[2]张兴东，胡华平，况晓辉，陈辉忠.防火墙与入侵检测系统联动的研究与实现[J].计算机工程与科学，2004，（04）.

[3]李安宁.防火墙与入侵检测系统联动的网络安全体系分析[J].电脑知识与技术，2008，（34）.

[4]杨柳，李祥和，田根业.防火墙与入侵检测的联动及其改进[J].信息工程大学学报，2007，（03）.